JUL 04, 2025 The Hacker Newsai Security / Enterprise Security Generation AI está cambiando la forma en que las empresas funcionan, aprenden e innovan. Pero debajo de la superficie, algo peligroso está sucediendo. Los agentes de IA y los flujos de trabajo de Genai personalizados están creando nuevas formas ocultas para que los datos empresariales confidenciales se filtren, y la mayoría de los equipos ni siquiera se dan cuenta. Si está construyendo, implementando o administrando sistemas de IA, ahora es el momento de preguntar: ¿sus agentes de IA exponen datos confidenciales sin su conocimiento? La mayoría de los modelos de Genai no filtran datos intencionalmente. Pero aquí está el problema: estos agentes a menudo están conectados a los sistemas corporativos, lo que sale de SharePoint, Google Drive, cubos S3 y herramientas internas para dar respuestas inteligentes. Y ahí es donde comienzan los riesgos. Sin controles de acceso ajustados, políticas de gobierno y supervisión, una IA bien intencionada puede exponer accidentalmente información confidencial a los usuarios equivocados, o peor, a Internet. Imagine un chatbot que revela datos salariales internos. O un asistente de surgir diseños de productos inéditos durante una consulta casual. Esto no es hipotético. Ya está sucediendo. Aprenda a mantenerse a la vanguardia: antes de que ocurra una violación, únase al seminario web gratuito en vivo «asegurando a los agentes de IA y evitando la exposición de datos en los flujos de trabajo de Genai», organizado por los expertos en seguridad de IA de Sentra. Esta sesión explorará cómo los agentes de IA y los flujos de trabajo de Genai pueden filtrar los datos confidenciales involuntarios, y lo que puede hacer para detenerlo antes de que ocurra una violación. Esto no es solo la teoría. Esta sesión se sumerge en configuraciones erróneas de IA del mundo real y lo que los causó, desde los permisos excesivos hasta la confianza ciega en los resultados de LLM. Aprenderá: los puntos más comunes en los que las aplicaciones de Genai filtran accidentalmente datos empresariales qué atacantes están explotando en entornos conectados a la IA ¿Cómo apretar el acceso sin bloquear los marcos probados de innovación para asegurar a los agentes de IA antes de que las cosas salgan mal? Esta sesión está construida para personas que hacen que la IA se realice: los equipos de seguridad que protegen a los ingenieros de la empresa DATADEVOPS que implementan líderes de Genai AppSit responsables del acceso y la integración y la gobernanza de datos Pros que conforman las políticas de IA y los propietarios de productos de IA equilibran la velocidad con seguridad si está trabajando en cualquier lugar cerca de IA, esta conversación es esencial. Genai es increíble. Pero también es impredecible. Y los mismos sistemas que ayudan a los empleados a moverse más rápido pueden mover accidentalmente los datos confidenciales a las manos equivocadas. Mire este seminario web Este seminario web le brinda las herramientas para avanzar con confianza, no miedo. Hagamos que sus agentes de IA sean poderosos y seguros. Guarde su lugar ahora y aprenda lo que se necesita para proteger sus datos en la era de Genai. ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Etiqueta: seguridad de la información

Los actores de amenaza están armando interfaces de protocolo de cable de depuración Java expuesto (JDWP) para obtener capacidades de ejecución de código e implementar mineros de criptomonedas en hosts comprometidos. «El atacante utilizó una versión modificada de XMRIG con una configuración codificada», lo que les permite evitar argumentos sospechosos de línea de comandos que a menudo son marcados por los defensores «, dijeron los investigadores de Wiz Yaara Shriki y Gili Tikochinski en un informe publicado esta semana». La carga de pago utilizada minera de la agrupación de los pisos para ocultar su dirección de Wallingrence Walling, allí, evitando a los inversionistas de los inversionistas de los inversionistas. Firma, que está siendo adquirido por Google Cloud, dijo que la actividad contra sus servidores Honeypot que ejecuta TeamCity, una popular integración continua y una herramienta de entrega continua (CI/CD) es un protocolo de comunicación utilizado en Java para la depuración de JAVA, o no con la misma computadora. La autenticación o los mecanismos de control de acceso, exponiendo el servicio a Internet, puede abrir un nuevo vector de ataque que los atacantes pueden abusar como un punto de entrada, habilitando el control total sobre el proceso de Java en ejecución, la configuración errónea puede ser utilizada para inyectar y ejecutar comandos arbitrarios para configurar la persistencia. Utilizado en entornos de desarrollo y depuración «, dijo Wiz.» Muchas aplicaciones populares inician automáticamente un servidor JDWP cuando se ejecutan en modo de depuración, a menudo sin hacer que los riesgos sean obvios para el desarrollador. Si se asegura de manera incorrecta o expuesta, esto puede abrir la puerta a las vulnerabilidades de ejecución de código remoto (RCE). «Algunas de las aplicaciones que pueden iniciar un servidor JDWP cuando en el modo de depuración incluyen TeamCity, Jenkins, Selenium Grid, Elasticsearch, Quarkus, Boot y Apache TomCat. Los datos de Greynois muestran más de 2,600 Direcciones de escaneo de JDWP de Springpputs, las últimas 24 horas de escaneo JDWP de las 24 horas de escaneo JDWP, las últimas 24 horas, las siguientes 24 horas, las siguientes 24 horas, las 24 horas, las 24 horas, las 24 horas, las 24 horas, las 24 horas, los datos de las 24 horas, las 24 horas, las 24 horas, los datos de las 24 horas de escaneo JDWP de las 24 horas, los datos de las 24 horas de escaneo de las 24 horas de escaneo JDWP de las 24 horas de escaneo JDWP de las medidas. De los cuales más de 1,500 direcciones IP son maliciosas y las 1,100 direcciones IP se clasifican como sospechosas. En Internet. servidor externo («asqueroso[.]mundo «) en» ~/.config/logrotate «establecer persistencia estableciendo trabajos cron para garantizar que la carga útil se vuelva a buscar y se vuelva a ejecutarse después de cada inicio de sesión de shell, reiniciar o un intervalo de tiempo programado que se elimina a sí mismo en la salida», de origen abierto, XMRIG ofrece los atacantes la personalización fácil de la personalización fácil, que en este caso involucra todo el comando de la línea de los comandos y la configuración de la configuración de la configuración de la lógica hard. «Este ajuste no solo simplifica la implementación, sino que también permite que la carga útil imite el proceso de logrotado original de manera más convincente». HPing3, una utilidad disponible libremente para la elaboración y el envío de paquetes ICMP/TCP/UDP personalizados. Turquía es el principal objetivo. propagado por un módulo independiente que lleva a cabo ataques de pulverización de contraseña para obtener acceso inicial a los sistemas.[.]18 «) que, a su vez, se emplea para descargar un script de shell. El script se utiliza para detectar la arquitectura de la CPU del host infectado, terminar una versión ya en ejecución del troyano y recuperar la carga útil principal que es responsable de iniciar ataques de inundación DDoS sobre TCP y UDP. HPingBot también está diseñado para establecer la persistencia y cubrir las transacciones de la infección por la infección por el historial de comando. Los nodos controlados por HPingBot para entregar otro componente DDOS basado en GO hasta el 19 de junio que, mientras confían en el mismo Sever de comando y control (C2), evita que PasteBin y Hping3 llamen a las funciones de inundación incorporadas basadas en los protocolos de UDP y TCP que vale la pena mencionar el hecho de que la versión de Windows no puede usar HPing3 para lanzar los ataques DDOS debido a la de hecho. «APT -Y Install», la capacidad del malware para soltar y ejecutar cargas útiles adicionales sugerencias ante la posibilidad de que los actores de amenaza pretendan ir más allá de la interrupción del servicio para convertirlo en una red de distribución de carga útil «. Vale la pena señalar que la versión de Windows de HPPBOT no puede llamar directamente a HPPing3 a los ataques DDOS, sino que su actividad es tan frecuente. función de descargar y ejecutar cargas útiles arbitrarias «. Encontrado este artículo interesante? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

Jul 05, 2025Ravie Lakshshmanannacional Seguridad / Privacidad La Oficina de Seguridad Nacional de Taiwán (NSB) advirtió que las aplicaciones desarrolladas por China como Rednote (también conocido como Xiaohongshu), Weibo, Tiktok, Wechat y Baidu Cloud representan riesgos de seguridad debido a la recopilación de datos excesivos y la transferencia de datos a China a China. La alerta se produce después de una inspección de estas aplicaciones llevadas a cabo en coordinación con la Oficina de Investigación del Ministerio de Justicia (MJIB) y la Oficina de Investigación Criminal (CIB) bajo la Agencia Nacional de Policía. «Los resultados indican la existencia de problemas de seguridad, incluida la recopilación de datos excesiva e infracción de privacidad», dijo el NSB. «Se aconseja al público que tenga precaución al elegir aplicaciones móviles». La agencia dijo que evaluó las aplicaciones contra 15 indicadores que abarcan cinco categorías amplias: recopilación de datos personales, uso de permiso excesivo, transmisión y intercambio de datos, extracción de información del sistema y acceso a datos biométricos. Según el análisis, Rednote violó los 15 indicadores, seguidos de Weibo y Tiktok que se encontró que violaron 13 indicadores. WeChat y Baidu Cloud violaron 10 y 9 de los 15 indicadores, respectivamente. Estos problemas abarcaron una amplia recopilación de datos personales, incluida la información de reconocimiento facial, capturas de pantalla, contenido del portapapeles, listas de contactos e información de ubicación. Todas las aplicaciones también se han marcado para cosechar la lista de aplicaciones instaladas y parámetros del dispositivo. «Con respecto a la transmisión y el intercambio de datos, se descubrió que dichas cinco aplicaciones devuelven los paquetes a los servidores ubicados en China», dijo el NSB. «Este tipo de transmisión ha expresado serias preocupaciones sobre el posible mal uso de los datos personales por parte de terceros». NSB también señaló que las empresas que operan en China están obligadas a entregar los datos del usuario bajo las leyes nacionales para la seguridad nacional, la seguridad pública y la inteligencia, y que el uso de estas aplicaciones puede violar la privacidad de los usuarios taiwaneses. El desarrollo se produce cuando países como India han promulgado prohibiciones contra aplicaciones hechas por chino, citando preocupaciones de seguridad. En noviembre de 2024, Canadá ordenó a Tiktok que disuelva sus operaciones en el país, aunque su destino en los Estados Unidos aún permanece en el limbo, ya que la prohibición, que se suponía que entraría en vigencia en enero de 2025, se ha extendido por tercera vez. La semana pasada, una de las autoridades de protección de datos de Alemania instó a Apple y Google a eliminar el chatbot de inteligencia artificial china (IA) de su breve de sus respectivas tiendas de aplicaciones debido a las transferencias ilegales de datos de los usuarios a China. También han sido impuestas restricciones similares por otras naciones. «El NSB aconseja al público que permanezca atento a la seguridad del dispositivo móvil y evite descargar aplicaciones hechas por China que representan riesgos de ciberseguridad, a fin de proteger la privacidad de los datos personales y los secretos comerciales corporativos», agregó. ¿Encontró este artículo interesante? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

Jul 04, 2025Ravie Lakshmananzero-Day / Cyber Espionage Investigadores de seguridad cibernética han arrojado luz sobre un actor de amenaza previamente indocumentado llamado Nighteagle (también conocido como APT-Q-95) que se ha observado dirigido a los servidores de intercambio de Microsoft como una parte de una cadena de exploy cero diseñada para el gobierno objetivo, la defensa y los sectores tecnológicos en China. Según el equipo RedDrip de Qianxin, el actor de amenaza ha estado activo desde 2023 y ha cambiado de infraestructura de red a un ritmo extremadamente rápido. Los hallazgos se presentaron en Cydes 2025, la tercera edición de la Exposición y Conferencia de Seguridad Cibernética Nacional de Malasia celebrada entre el 1 y el 3 de julio de 2025. «Parece tener la velocidad de un águila y ha estado operando por la noche en China», dijo el Vendor de seguridad cibernética, explicando la ración detrás de la noche adversaria. Los ataques montados por el actor de amenaza han señalado entidades que operan en los semiconductores de alta tecnología, la tecnología cuántica, la inteligencia artificial y las verticales militares con el objetivo principal de recopilar inteligencia, agregó Qianxin. La compañía también señaló que comenzó una investigación después de descubrir una versión a medida de la utilidad de cincel basada en GO en uno de los puntos finales de sus clientes que se configuró para comenzar automáticamente cada cuatro horas como parte de una tarea programada. «El atacante modificó el código fuente de la herramienta de penetración de intranet de cincel de código abierto, codificados por los parámetros de ejecución, utilizó el nombre de usuario y la contraseña especificados, estableció una conexión de calcetines con el final 443 Fin de la dirección C&C especificada y lo asignó al puerto especificado del host C&C para lograr la función de penetración Intranet», dijo en un informe en un informe. Se dice que el troyano se entrega mediante un cargador .NET, que, a su vez, se implanta en el servicio de Información de Información de Internet (IIS) del servidor Microsoft Exchange. Un análisis posterior ha determinado la presencia de un día cero que permitió a los atacantes obtener la máquina de ametralladoras y obtener acceso no autorizado al servidor de Exchange. «El atacante utilizó la clave para deserializar el servidor de Exchange, implantando así un troyano en cualquier servidor que cumpla con la versión de intercambio y leyendo de forma remota los datos del buzón de cualquier persona», dijo el informe. Qianxin afirmó que la actividad era probablemente el trabajo de un actor de amenaza de América del Norte dado que los ataques tuvieron lugar entre las 9 pm y las 6 de la mañana. Hacker News se ha comunicado con Microsoft para obtener más comentarios, y actualizaremos la historia si recibimos una respuesta. ¿Encontró este artículo interesante? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

Jul 04, 2025Ravie Lakshmanananmobile Seguridad / privacidad Google ha sido ordenado por un tribunal en el estado de los Estados Unidos de California que pague $ 314 millones por los cargos que utilizó mal los datos celulares de los usuarios de dispositivos de Android cuando estaban inactivos para enviar pasivamente información a la compañía. El veredicto marca el final de una queja legal de acción de clase que se presentó originalmente en agosto de 2019. En su demanda, los demandantes argumentaron que el sistema operativo Android de Google aprovecha los datos celulares de los usuarios para transmitir una «variedad de información a Google» sin su permiso, incluso cuando sus dispositivos se mantienen en un estado inactivo. «Aunque Google podría hacer que estas transferencias ocurran solo cuando los teléfonos están conectados a Wi-Fi, Google diseñó estas transferencias para que también puedan tener lugar a través de una red celular», dijeron. «El uso no autorizado de Google de sus datos celulares viola la ley de California y requiere que Google compense a los demandantes por el valor de los datos celulares que Google usa para su propio beneficio sin su permiso». Las transferencias, argumentaron los demandantes, ocurren cuando las propiedades de Google están abiertas y operan en segundo plano, incluso en situaciones en las que un usuario ha cerrado todas las aplicaciones de Google, y su dispositivo está inactivo, lo que apropia mal los subsidios de datos celulares de los usuarios. En un caso, los demandantes encontraron que un dispositivo Samsung Galaxy S7 con la configuración predeterminada y las aplicaciones precargadas estándar, y conectadas a una nueva cuenta de Google, envió y recibió 8.88 MB/día de datos celulares, de las cuales el 94% de las comunicaciones estaban entre Google y el dispositivo. El intercambio de información ocurrió aproximadamente 389 veces en un lapso de 24 horas. La información transferida consistió principalmente en archivos de registro que contenían métricas del sistema operativo, estado de red y la lista de aplicaciones abiertas. «Los archivos de registro generalmente no son sensibles al tiempo, y la transmisión de ellos podría retrasarse fácilmente hasta que Wi-Fi esté disponible», según documentos judiciales. «Google también podría programar Android para permitir a los usuarios habilitar transferencias pasivas solo cuando están en conexiones Wi-Fi, pero aparentemente ha elegido no hacerlo. En cambio, Google ha elegido simplemente aprovechar las asignaciones de datos celulares de los demandantes». Eso no es todo. La denuncia de la corte también citó otro experimento de 2018 que encontró que un dispositivo Android que estaba «externamente latente y estacario» pero tenía la aplicación de navegador web Chrome y en segundo plano dio como resultado aproximadamente 900 transferencias pasivas en 24 horas. En comparación, un iPhone estacionario e intacto con el navegador Safari abierto en segundo plano envió «significativamente menos información», y señaló que el sistema operativo de Apple brinda a los usuarios un mayor control cuando se trata de transferencias de información pasiva. Tras un juicio que comenzó el 2 de junio de 2025, el jurado se puso del lado de los demandantes, afirmando que el gigante tecnológico era responsable de realizar estas transferencias de datos pasivos y hacer que ellos dijeron lo que dijeron eran «cargas obligatorias e inevitables. […] Para el beneficio y la conveniencia de Google. «En un comunicado a Reuters, Google dijo que apelaría la decisión y sostuvo que las transferencias de datos están relacionadas con» servicios que son críticos para la seguridad, el rendimiento y la confiabilidad de los dispositivos Android «. La compañía también apuntó a que revele las transferencias en sus términos de acuerdo y obtenga consentimiento para ellos. Texas que lo acusó de rastrear la ubicación personal de los usuarios y mantener sus datos de reconocimiento facial sin consentimiento. efectividad, e impone un modelo de negocio potencialmente inviable «, dijo la compañía.» Esto pasa por alto la realidad comercial de que, en una economía de mercado, meta merece una compensación justa por los servicios valiosos e innovadores que los usuarios eligen usar, un principio esencial para mantener la innovación y el crecimiento económico. ¿Encontró este artículo interesante? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

Según un nuevo informe de Human, se ha interrumpido una operación de fraude publicitaria móvil denominada Iconads que consistió en 352 aplicaciones de Android, según un nuevo informe de Human. Las aplicaciones identificadas fueron diseñadas para cargar anuncios fuera de contexto en la pantalla de un usuario y ocultar sus íconos del lanzador de pantalla de inicio del dispositivo, lo que dificulta que las víctimas los eliminen, según el equipo de investigación e inteligencia de amenazas e investigación de Satori de la compañía. Las aplicaciones tienen

Se ha observado que los actores de amenaza con lazos con Corea del Norte dirigen a las empresas Web3 y relacionadas con las criptomonedas con malware escritos en el lenguaje de programación NIM, subrayando una evolución constante de sus tácticas. «Inusualmente para el malware de MacOS, los actores de amenaza emplean una técnica de inyección de procesos y comunicaciones remotas a través de WSS, dijeron la versión con TLS cifrada del Protocolo WebSocket», dijeron los investigadores de Sentinelone Phil Stokes y Raffaele Sabato compartido con las noticias de los hackers. «Un nuevo mecanismo de persistencia aprovecha los manejadores de señal Sigint/sigter para instalar la persistencia cuando se termina el malware o se reinicia el sistema». La compañía de seguridad cibernética está rastreando los componentes de malware colectivamente bajo el nombre de Nimdoor. Vale la pena señalar que Huntensil.it y más tarde por Huntress y Valentin documentan algunos aspectos de la campaña. Las cadenas de ataque involucran tácticas de ingeniería social, que se acercan a los objetivos en plataformas de mensajería como Telegram para programar una reunión de zoom a través de Calendly, un software de programación de citas. Luego, el objetivo se envía un correo electrónico que contiene un supuesto enlace de reunión de Zoom junto con instrucciones para ejecutar un script de actualización de zoom SDK para garantizar que estén ejecutando la última versión del software de videoconferencia. Este paso da como resultado la ejecución de un AppleScript que actúa como un vehículo de entrega para un script de segunda etapa desde un servidor remoto, mientras que aparentemente redirige al usuario a un enlace de redirección de zoom legítimo. El script recién descargado posteriormente desempaquera los archivos ZIP que contienen binarios responsables de establecer persistencia y lanzar información de robo de información. En el corazón de la secuencia de infección hay un cargador C ++ llamado inyectwithdyDarm64 (también conocido como inyectwithdyld), que descifra dos binarios incrustados llamados Target y Trojan1_arm64. InyectwithdyDarm64 lanza objetivo en un estado suspendido e inyecta el código binario de Trojan1_arm64, después de lo cual se reanuda la ejecución del proceso suspendido. El malware procede a establecer la comunicación con un servidor remoto y obtener comandos que le permitan recopilar información del sistema, ejecutar comandos arbitrarios y cambiar o establecer el directorio de trabajo actual. Los resultados de la ejecución se devuelven al servidor. Trojan1_arm64, por su parte, es capaz de descargar dos cargas más útiles, que vienen equipadas con capacidades para cosechar credenciales de navegadores web como ARC, Brave, Google Chrome, Microsoft Edge y Mozilla Firefox, así como extraer datos de la aplicación Telegram. También se suelta como parte de los ataques es una colección de ejecutables basados en NIM que se utiliza como una plataforma de lanzamiento para CoreKitagent, que monitorea para los intentos del usuario de matar el proceso de malware y garantiza la persistencia. «Este comportamiento asegura que cualquier terminación iniciada por el usuario del malware resulte en la implementación de los componentes centrales, lo que hace que el código se resilice a las acciones defensivas básicas», dijeron los investigadores. El malware también inicia un AppleScript que saca cada 30 segundos a uno de los dos servidores de comando y control (C2) codificados, al tiempo que exfiltran una instantánea de la lista de procesos de ejecución y ejecutando scripts adicionales enviados por el servidor. Los hallazgos demuestran cómo los actores de amenaza de Corea del Norte están entrenando cada vez más sus vistas en los sistemas de MacOS, armando a AppleScript para actuar como una puerta trasera posterior a la explotación para cumplir con sus objetivos de recopilación de datos. «Los actores de amenaza alineados en Corea del Norte han experimentado previamente con GO y Rust, combinando de manera similar los guiones y compilado binarios en cadenas de ataque de varias etapas», dijeron los investigadores. «Sin embargo, la capacidad bastante única de NIM para ejecutar funciones durante el tiempo de compilación permite a los atacantes combinar un comportamiento complejo en un binario con un flujo de control menos obvio, lo que resulta en binarios compilados en los que el código del desarrollador y el código de tiempo de ejecución NIM se entremezclan incluso a nivel de función». El uso de Kimsuky de ClickFix continúa la divulgación se produce cuando la compañía de ciberseguridad de Corea del Sur, Genians, expuso el uso continuo de Kimusky de la Táctica de Ingeniería Social de ClickFix para ofrecer una variedad de herramientas de acceso remoto como parte de una campaña denominada Babyshark, un clúster conocido de actividad atribuido al grupo de piratería norcoreana. Los ataques, observados por primera vez en enero de 2025 y apuntando a expertos en seguridad nacional en Corea del Sur, implican el uso de correos electrónicos de phishing de lanza disfrazados de solicitudes de entrevistas para un periódico comercial legítimo en alemán y engañarlos para que abran un enlace malicioso que contiene un archivo falso de raros. Presente dentro del archivo hay un archivo de script de Visual Basic (VBS) que está diseñado para abrir un archivo de documentos de Google señuelo en el navegador web del usuario, mientras que, en segundo plano, el código malicioso se ejecuta para establecer la persistencia en el host a través de tareas programadas y información del sistema de cosecha. Los ataques posteriores observados en marzo de 2025 han hecho pasar por un alto funcionario de seguridad nacional de EE. UU. Para engañar a los objetivos para abrir un archivo adjunto PDF que incluía una lista de preguntas relacionadas con una reunión durante la supuesta visita del funcionario a Corea del Sur. «También intentaron engañar al objetivo para que abran un manual e ingrese un código de autenticación, supuestamente requerido para acceder a un documento seguro», dijo Genians. «Si bien la táctica original ‘ClickFix’ engañó a los usuarios para que haga clic para corregir un error específico, esta variante modificó el enfoque al pedir a los usuarios que copiaran y pegar un código de autenticación para acceder a un documento seguro». Professpoint documentó una táctica similar en abril de 2025, la diferencia es que el mensaje de correo electrónico afirmado se originó en un diplomático japonés e instó al destinatario a establecer una reunión con el embajador japonés en los Estados Unidos. Una vez que se ejecuta el comando malicioso de PowerShell, un archivo de Docs de Google señuelo se usa como una distracción para ocultar la ejecución del código malicioso que establece una comunicación persistente con un servidor C2 para recopilar datos y entregar cargas útiles adicionales. Una segunda variante de la estrategia ClickFix implica el uso de un sitio web falso que imita un portal de trabajo de investigación de defensa legítimo y poblándolo con listados falsos, lo que hace que los visitantes del sitio que hacen clic en estas publicaciones se atienden con un mensaje emergente de estilo ClickFix para abrir el dialog de Windows y ejecutar un comando PowerShell. El comando, por su parte, guió a los usuarios para descargar e instalar el software de escritorio remoto de Chrome en sus sistemas, permitiendo el control remoto a través de SSH a través del servidor C2 «Kida.plusdocs.kro[.]KR. «Los genianos dijeron que descubrió una vulnerabilidad de un listado de directorio en el servidor C2 de que los datos expuestos públicamente probablemente recopilados de las víctimas ubicadas en Corea del Sur. El servidor C2 también incluyó una dirección IP de China, que se ha encontrado que contiene un registro de keylogging para una cadena de enlace de protección de protón que aloja un archivo zip que se usa para el babyky de Babyskark en el malware en el último malking de Windows por medio de una cadena de ataque múltiple de KIMS, como el último mes de enlace de KImy, se utiliza recientemente, el último mes, es el último mes, es el último mes de Kimsu, es el último mes de Kimsu. Para haber inventado otra variante de ClickFix en la que los actores de amenaza implementan las páginas de verificación de la Captcha Phony para copiar y pegar los comandos de PowerShell en el diálogo de Windows Ej. appears to be another case of publicly available methods being adapted for malicious use.» In recent weeks, Kimsuky has also been linked to email phishing campaigns that seemingly originate from academic institutions, but distribute malware under the pretext of reviewing a research paper. «The email prompted the recipient to open a HWP document file with a malicious OLE object attachment,» AhnLab said. «The document was password-protected, and the recipient had to enter the password provided in the email body to view the document.» Opening the weaponized document activates the infection process, leading to the execution of a PowerShell script that performs extensive system reconnaissance and the deployment of the legitimate AnyDesk software for persistent remote access. The prolific threat actor that Kimsuky is, the group is in a constant state of flux regarding its tools, tactics, and techniques for malware delivery, with some of the cyber attacks also Aprovechar a Github como un stager para propagar un troyano de código abierto llamado Xeno Rat. Comience con los correos electrónicos de phishing de lanza con archivos adjuntos de archivo comprimidos que contienen un archivo de acceso directo de Windows (LNK), que, a su vez, se usa para soltar un script de PowerShell que luego descarga y inicia el documento Decoy, así como ejecuta Xeno Rat y un PowerShell Information Stoaler a Otry Attack Secureby a Otry AttleBbox a Otros secuencias de AttleBbox. Xeno Rat. de las operaciones de Kimsuky, incluido su uso de Github y Dropbox como parte de su infraestructura «. Kimsuky, según los datos de NSFOCUS, ha sido uno de los grupos de amenaza más activos de Corea, junto con Konni, que representa el 5% de todos los 44 Grupos de Attre -Atting Atting Attain Attain Attain Attain Attain Atente. Kimsuky, Sidewinder y Konni.

Jul 02, 2025Ravie Lakshmananai Security / Phishing Se ha observado a los actores de amenaza desconocida Armonar V0, una herramienta generativa de inteligencia artificial (AI) de Vercel, para diseñar páginas falsas de inicio de sesión que se hacen pasar por sus contrapartes legítimas. «Esta observación señala una nueva evolución en la arma de la IA generativa por parte de los actores de amenazas que han demostrado la capacidad de generar un sitio de phishing funcional a partir de simples indicaciones de texto», dijeron los investigadores de inteligencia de amenazas de Okta Houssem Eddine Bordjiba y Paula de La Hoz. V0 es una oferta con AI desde VERCEL que permite a los usuarios crear páginas de destino básicas y aplicaciones de pila completa utilizando indicaciones de lenguaje natural. El proveedor de servicios de identidad dijo que ha observado a los estafadores utilizando la tecnología para desarrollar réplicas convincentes de páginas de inicio de sesión asociadas con múltiples marcas, incluido un cliente no identificado. Después de la divulgación responsable, Vercel ha bloqueado el acceso a estos sitios de phishing. También se ha descubierto que los actores de amenaza detrás de la campaña albergan otros recursos, como los logotipos de la compañía del imitador en la infraestructura de Vercel, probablemente en un esfuerzo por abusar de la confianza asociada con la plataforma de desarrolladores y evadir la detección. A diferencia de los kits de phishing tradicionales que requieren cierta cantidad de esfuerzo para establecer, herramientas como V0, y sus clones de código abierto en GitHub, permite a los atacantes girar las páginas falsas simplemente escribiendo un aviso. Es más rápido, más fácil y no requiere habilidades de codificación. Esto hace que sea simple que incluso los actores de amenaza de baja calificación construyan sitios de phishing convincentes a escala. «La actividad observada confirma que los actores de amenaza de hoy están experimentando activamente y armando las principales herramientas de Genai para racionalizar y mejorar sus capacidades de phishing», dijeron los investigadores. «El uso de una plataforma como V0.DEV de Vercel permite a los actores de amenaza emergente producir rápidamente páginas de phishing engañosas y de alta calidad, aumentar la velocidad y la escala de sus operaciones». El desarrollo se produce a medida que los malos actores continúan aprovechando los modelos de idiomas grandes (LLM) para ayudar en sus actividades criminales, construyendo versiones sin censura de estos modelos que están diseñados explícitamente para fines ilícitos. Una de esas LLM que ha ganado popularidad en el panorama del delito cibernético es Whiterabbitneo, que se anuncia a sí mismo como un «modelo de IA sin censura para los equipos (Dev) Secops». «Los ciberdelincuentes son cada vez más gravitantes hacia LLM sin censura, LLM diseñados por cibercrimen y LLM legítimos de jailbreak», dijo el investigador de Cisco Talos, Jaeson Schultz. «Los LLM no censurados son modelos no alineados que funcionan sin las restricciones de las barandillas. Estos sistemas generan felizmente un resultado sensible, controvertido o potencialmente dañino en respuesta a las indicaciones del usuario. Como resultado, los LLM sin censura son perfectamente adecuados para el uso cibercriminal». Esto se ajusta a un cambio más grande que estamos viendo: el phishing está siendo alimentado por AI en más de un sentido que antes. Los correos electrónicos falsos, las voces clonadas, incluso los videos de Deepfake están apareciendo en ataques de ingeniería social. Estas herramientas ayudan a los atacantes a escalar rápidamente, convirtiendo pequeñas estafas en grandes campañas automatizadas. Ya no se trata solo de engañar a los usuarios, se trata de construir sistemas enteros de engaño. ¿Encontró este artículo interesante? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.